Google incontra ancora difficoltà nel fare “digerire” l'autenticazione a due fattori ai suoi utenti. Il sistema di doppia verifica nelle procedure di login, utile per acceditarsi su Gmail, YouTube, Drive, Foto, G+ e altri servizi della società di Mountain View dopo aver ricevuto un Sms con un codice temporaneo, è attualmente usato da meno di una persona su dieci. Così ha svelato il software engineer Grzegorz Milka sul palco della conferenza “Enigma”, in corso questa settimana a San Francisco.
Un livello di adozione inferiore al 10% può essere accettabile per tecnologie emergenti, ma non certo per un metodo che è stato introdotto sugli account Google ben sette anni fa. E ancor più la piccola percentuale lascia perplessi se si pensa a quanto il tema delle violazioni informatiche, del furto di dati e di identità abbia dominato nelle pagine del giornalismo tecnologico (e non solo di quello tecnologico) negli ultimi anni. Lo scenario è confermato se si allarga lo sguardo: più in generale, secondo uno studio del Pew Research Center, nel 2016 solo il 12% dei cittadini statunitensi sfruttava applicazioni di password manager per difendere i propri account da hackeraggi e furto di credenziali.
Se il metodo “two-step” è stato attivato, nel caso di intercettazione di username e parole chiave, a un eventuale malintenzionato che tenti di violare un account servirebbero anche i token temporanei (codici numerici o alfanumerici) inviati all'utente sul proprio smartphone. Sorge spontanea una domanda: snobbata ma importante per la sicurezza, l'autenticazione a due fattori non potrebbe essere resa obbligatoria per tutti gli account Google? Al quesito, sollevato dai giornalisti durante la conferenza di San Francisco, Milka ha risposto sottolineando esigenze di usabilità: estendendo a chiunque la procedura dell'Sms di verifica, bisognerebbe considerare “quante persone spingeremmo ad andarsene”.
Sebbene il ragionamento abbia senso, di fronte ad alcune statistiche di Google verrebbe quasi da desiderare l'imposizione del metodo a due fattori anche ai pigri che non lo amano. Un'analisi della società californiana ha rilevto che nell'anno compreso fra marzo 2016 e marzo 2017 sono stati compiuti decine di milioni di furti di credenziali di account Google: 12 milioni tramite phishing, 3,3 milioni per effetto di violazioni informatiche su servizi terzi e 788mila tramite keylogger.